您可以根据贵组织的需要,在将 Google 作为服务提供商的情况下,通过多种方式设置单点登录。Google Workspace 支持基于 SAML 的单点登录和基于 OIDC 的单点登录。
- 单点登录配置文件包含您的 IdP 设置,可让您灵活地为组织中的不同用户应用不同的单点登录设置。创建基于 SAML 的配置文件、自定义 OIDC 配置文件,或使用默认的 Microsoft Entra OIDC 配置文件(无需配置)。
- 创建单点登录配置文件后,将配置文件分配给组织部门或群组,以便为这些用户设置 IdP。此外,您还可以关闭特定组织部门或群组的单点登录。
如果您的用户使用网域专用服务网址访问 Google 服务(例如 https://mail.google.com/a/example.com),您还可以管理这些服务网址与单点登录搭配使用的方式。
如果贵组织需要基于 IP 地址的条件式单点登录重定向,或需要为超级用户启用单点登录,那么您还可以选择配置旧版单点登录配置文件。
设置基于 SAML 的单点登录
准备工作
要设置 SAML 单点登录配置文件,您需要 IdP 支持团队或文档提供一些基本配置:
- 登录页网址:也称为 SSO 网址或 SAML 2.0 端点 (HTTP)。这是用户登录您的 IdP 的位置。
- 退出页网址:用户退出 Google 应用或服务后到达的页面。
- 更改密码网址:单点登录用户用于更改密码的页面(而不是通过 Google 更改密码的页面)。
- 证书:来自 IdP 的 X.509 PEM 证书。证书包含用于验证来自 IdP 的登录的公钥。
- 证书必须是 PEM 或 DER 格式的 X.509 证书,并包含嵌入的公钥。
- 公钥则必须采用 DSA 或 RSA 算法生成。
- 证书中的公钥必须与用于签署 SAML 响应的私钥匹配。
您通常可从 IdP 获取这些证书。不过,您也可以自行生成它们。
创建 SAML 单点登录配置文件
按照以下步骤创建第三方单点登录配置文件。您最多可以在组织中创建 1000 个配置文件。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 在第三方单点登录配置文件中,点击添加 SAML 配置文件。
- 输入配置文件的名称。
- (可选)如果您有来自 IdP 的 XML 元数据文件,请点击“上传 XML 文件”以提供 IdP 信息,然后继续执行第 8 步
- 填写登录页网址以及从 IdP 获取的其他信息。
- 为您的 IdP 输入更改密码网址。用户将前往此网址(而不是 Google 更改密码页面)重置密码。
- 点击上传证书以上传证书文件。
您最多可以上传 2 个证书,以便在必要时可选择轮换证书。
- 点击保存。
- 在服务提供商 (SP) 详细信息部分,复制并保存实体 ID 和 ACS 网址。在 IdP 管理控制台中,您需要使用这些值来配置 Google 单点登录。
- (可选)如果 IdP 支持对断言进行加密,那么您可以生成证书并与 IdP 共享,以启用加密功能。每个 SAML 单点登录配置文件最多可以有 2 个服务提供商证书。
- 点击服务提供商详情部分以进入修改模式。
- 在服务提供商证书下,点击生成证书。(保存之后,证书将会显示。)
- 点击保存。系统会显示证书名称、失效日期和内容。
- 使用证书上方的按钮复制证书内容或将其下载为文件,然后与您的 IdP 共享证书。
- (可选)如果您需要轮替证书,请返回“服务提供商详情”部分并点击生成其他证书,然后与您的 IdP 共享新证书。确定您的 IdP 使用的是新证书后,您可以删除原始证书。
配置您的 IdP
如需将 IdP 配置为使用此单点登录配置文件,请将配置文件的服务提供商 (SP) 详细信息部分中的信息输入 IdP 单点登录设置中的相应字段。ACS 网址和实体 ID 都是此配置文件独有的。
配置旧版单点登录配置文件旧版单点登录配置文件适用于尚未迁移到较新单点登录配置文件的用户。它仅支持与单个 IdP 搭配使用。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 在第三方单点登录配置文件中,点击添加 SAML 配置文件。
- 在 IdP 详细信息页面底部,点击前往旧版单点登录配置文件设置。
- 在旧版单点登录配置文件页面上,选中启用采用第三方身份提供方的单点登录对应的复选框。
- 为您的 IdP 填写以下信息:
- 输入 IdP 的登录页网址和退出页网址。
注意:必须输入所有网址并使用 HTTPS,例如 https://sso.example.com。
- 点击上传证书,找到并上传 IdP 提供的 X.509 证书。如需了解详情,请参阅证书要求。
- 选择是否在 SAML 请求中使用来自 Google 的网域特有的颁发者。
如果您有多个网域通过 IdP 使用单点登录,请使用网域特有的颁发者来确定发出 SAML 请求的正确网域。
- 勾选:Google 会发送您网域特有的颁发者:google.com/a/example.com(其中 example.com 是您的 Google Workspace 主域名)example.com
- 未勾选:Google 会发送 SAML 请求的标准颁发者:google.com
- (可选)要将单点登录应用于特定 IP 地址范围内的一组用户,请输入网络掩码。如需了解详情,请参阅网络映射结果。
注意:您也可以通过将单点登录配置文件分配给特定组织部门或群组来为部分用户设置单点登录。
- 为您的 IdP 输入更改密码网址。用户将前往此网址(而不是 Google 更改密码页面)重置密码。
注意:如果您在此处输入网址,即使您未为组织启用单点登录功能,用户也会被定向到此页面。
- 输入 IdP 的登录页网址和退出页网址。
- 点击保存。
保存后,旧版单点登录配置文件会列示在单点登录配置文件表格中。
配置您的 IdP
如需将 IdP 配置为使用此单点登录配置文件,请将配置文件的“服务提供商 (SP) 详细信息”部分中的信息输入 IdP 单点登录设置中的相应字段。ACS 网址和实体 ID 都是此配置文件独有的。
| 格式 | |
| ACS 网址 | https://accounts.google.com/a/{domain.com}/acs 其中 {domain.com} 是贵组织的 Workspace 域名 |
| 实体 ID | 以下任意一个:
|
停用旧版单点登录配置文件
- 在第三方单点登录配置文件列表中,点击旧版单点登录配置文件。
- 在旧版单点登录配置文件设置中,取消选中启用采用第三方身份提供方的单点登录。
- 确认您要继续,然后点击保存。
在单点登录配置文件列表中,旧版单点登录配置文件现在显示为已停用。
- 分配有旧版单点登录配置文件的组织部门的已分配的配置文件列中会显示一条提醒消息。
- 顶级组织部门的已分配的配置文件列中会显示无。
- 在管理单点登录配置文件分配中,旧版单点登录配置文件显示为无效。
从旧版 SAML 迁移到单点登录配置文件
如果贵组织使用的是旧版单点登录配置文件,我们建议您迁移到较新的单点登录配置文件,后者具有多项优势,包括支持 OIDC、提供更现代的 API,以及可更灵活地将单点登录设置应用于用户组。了解详情。
设置基于 OIDC 的单点登录
按照以下步骤操作,以使用基于 OIDC 的单点登录:
- 选择一个 OIDC 选项 - 创建自定义 OIDC 配置文件(您可以在其中为 OIDC 合作伙伴提供信息),或使用预配置的 Microsoft Entra OIDC 配置文件。
- 按照决定哪些用户应使用单点登录中的步骤操作,将预配置的 OIDC 配置文件分配给所选组织部门/群组。
如果您的某个组织部门(例如下级组织部门)中有用户不需要单点登录,那么您也可以使用分配功能为这些用户停用单点登录。
注意:Google Cloud 命令行界面目前不支持使用 OIDC 重新进行身份验证。
准备工作
如需设置自定义 OIDC 配置文件,您需要从 IdP 支持团队或文档中获得一些基本配置:
- 颁发者网址:IdP 授权服务器的完整网址。
- OAuth 客户端,由其客户端 ID 标识,并通过客户端密钥进行身份验证。
- 更改密码网址:单点登录用户用于更改密码的页面(而不是通过 Google 更改密码的页面)。
此外,Google 需要您的 IdP 执行以下操作:
- IdP 中的
email声明必须与 Google 端用户的主电子邮件地址一致。 - 它必须使用授权代码流程。
创建自定义 OIDC 配置文件
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 在第三方单点登录配置文件中,点击添加 OIDC 配置文件。
- 为 OIDC 配置文件命名。
- 输入 OIDC 详细信息:客户端 ID、颁发者网址、客户端密钥。
- 点击保存。
- 在新配置文件的 OIDC 单点登录设置页面上,复制重定向 URI。您需要更新 IdP 上的 OAuth 客户端,以便使用此 URI 响应请求。
如需修改设置,请将光标悬停在 OIDC 详细信息上方,然后点击“修改”图标 。
使用 Microsoft Entra OIDC 配置文件
确保在贵组织的 Microsoft Entra ID 租户中为 OIDC 配置了以下前提条件:
- Microsoft Entra ID 租户需要通过域名验证。
- 最终用户必须拥有 Microsoft 365 许可。
- 分配单点登录配置文件的 Google Workspace 管理员的用户名(主电子邮件地址)必须与您的 Azure AD 租户管理员账号的主电子邮件地址一致。
决定哪些用户应使用单点登录
通过分配单点登录配置文件及其关联的 IdP,为组织部门或群组启用单点登录。您也可以为单点登录配置文件分配“无”,以停用单点登录。此外,您还可以在组织部门或群组内应用混合单点登录政策,例如为整个组织部门启用单点登录,然后为下级组织部门停用单点登录。
如果您尚未创建配置文件,请先创建配置文件,然后再继续操作。或者,您也可以分配预配置的 OIDC 配置文件。
- 点击管理单点登录配置文件分配。
- 如果这是您首次分配单点登录配置文件,请点击“开始使用”。否则,请点击管理分配。
- 在左侧,选择您要分配单点登录配置文件的组织部门或群组。
- 如果您为某个组织部门或群组分配的单点登录配置文件与为整个网域分配的配置文件不同,则当您选择该组织部门或群组时,系统会显示一条覆盖警告。
- 您无法按用户分配单点登录配置文件。使用“用户”视图,您可以查看特定用户的设置。
- 为所选组织部门或群组选择单点登录配置文件分配:
- 如要将相应组织部门或群组从单点登录中排除,请选择无。组织部门或群组中的用户将直接通过 Google 登录。
- 如要为相应组织部门或群组分配其他 IdP,请选择其他单点登录 (SSO) 配置文件,然后从下拉列表中选择单点登录配置文件。
- (仅限 SAML 单点登录配置文件)选择 SAML 配置文件后,请为直接登录 Google 服务(无需先登录单点登录配置文件的第三方 IdP)的用户选择登录选项。您可以提示用户输入其 Google 用户名,然后将他们重定向至 IdP,也可以要求用户输入其 Google 用户名和密码。
注意:如果您选择要求用户输入自己的 Google 用户名和密码,则此 SAML 单点登录配置文件的更改密码网址设置(可在“单点登录配置文件”>“IdP 详细信息”中找到)会被忽略。这样可以确保用户能够根据需要更改其 Google 密码。
- 点击保存。
- (可选)根据需要将单点登录配置文件分配给其他组织部门或群组。
关闭管理单点登录配置文件分配卡片后,您会在管理单点登录配置文件分配部分看到为组织部门和群组分配的配置文件已更新。
移除单点登录配置文件分配
- 点击某个群组或组织部门的名称,以打开其配置文件分配设置。
- 将现有分配设置更换为上级组织部门设置:
- 对于组织部门分配,请点击继承。
- 对于群组分配,请点击取消设置。
注意:您的顶级组织部门始终出现在配置文件分配列表中,即使“配置文件”设置为“无”也是如此。
另请参阅
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
